Невдалі спроби входу на сайти та блоги WordPress у багатьох викликають хвилювання. Але з іншого боку, відділ забезпечення мережевої безпеки запевняє користувачів не турбуватися, стверджуючи, що це норма.
Чи багато невдалих спроб входу до системи отримує ваш сайт на WordPress? Чи це причина для занепокоєння і приводом щось змінити? У ході цієї статті ми пояснимо, чому відбуваються подібні вторгнення на WordPress і як з ними справлятися.
Дивіться також:
- Блокування IP для сторінки авторизації WordPress сайту
- 6 поширених проблем при вході в адмінку WordPress (та їх вирішення)
- Як обмежити кількість спроб входу в консоль WordPress
- Помилка 500 Internal Server Error: розбираємось та усуваємо проблему
- Як захистити сторінку авторизації WordPress від хакерів за допомогою плагіна Rublon
- Як скинути пароль для WordPress через phpMyAdmin
Багато невдалих спроб входу на WordPress
Тих, хто встановлює на WordPress плагін Журнал аудиту безпеки WPзазвичай дивує кількість невдалих спроб входу, отриманих їх веб-сайтами на WordPress.
Далі йде пост від форуму підтримки плагіна WP Security Audit Log, в якому коротко викладено думки з цього приводу багатьох адміністраторів на WordPress:
Чи справді працює цей плагін?
Журнал аудиту показує, що майже кожен день наш блог отримує багато невдалих спроб входу в систему від користувачів з різних країн, таких як Україна, Росія, В'єтнам, Китай тощо. Незрозуміло чому так багато людей хочуть зламати наш маленький сайт, який навіть не має багато вмісту. Він також не приносить прибутку, оскільки не містить жодної реклами. Чому тоді так багато невдалих спроб входу на наш сайт? Сьогодні якась випадкова людина з України більше 10 разів намагалася отримати доступ до наших облікових записів з партнером. Ми не впевнені, що цей плагін дійсно працює або обчислює неправдиві сигнали тривоги.
Якщо ви встановлюєте плагін аудиту на WordPress для ваших сайтів, ви побачите один і той же тип активності, що не відповідає популярності та прибутковості сайту.
Чому хакери хочуть увійти на WordPress?
Більшість спроб атак на WordPress не призначені безпосередньо для вашого сайту. Спроби входу до системи WordPress генеруються за допомогою автоматизованих ботів (роботів), які використовують хакери при обході в Інтернеті з метою знайти сайти на WordPress зі слабкими обліковими даними.
Ваш веб-сайт на WordPress, перебуваючи в мережі, приймає ці атаки. Насправді такі дії спостерігаються і на будь-яких інших сайтах, незалежно від того, наскільки вони затребувані. Навіть сайти, що не відносяться до WordPress, отримують такий тип запитів, тому що більшість ботів просто надсилають запити будь-якому домену.
Чи впливають невдалі спроби входу працювати wordpress?
У більшості випадків вони не впливають на якість вашого сайту на WordPress. Крім тих невдалих спроб входу в WordPress, що може уповільнити сайт, або використовувати надмірну кількість смуги пропускання під час атаки методом підбору або атаки перебором за словником, запущених спеціально проти вашої сторінки входу на WordPress, що може призвести до відмови в обслуговуванні.
Які ризики невдалих спроб входу до WordPress?
Доки ви будете використовувати надійні паролі, загрози безпеці, пов'язаній з невдалими спробами входу на сайти та блоги вашого WordPress, не буде.
Незважаючи на те, що невдалі спроби входу до WordPress не несуть жодної загрози безпеці, є кілька речей, які вам варто зробити, щоб додати додатковий рівень безпеки до вашої сторінки входу на WordPress. Ви можете реалізувати дво-факторну автентифікацію або додати HTTP автентифікацію як додатковий рівень автентифікації.
Чи потрібно посилити захист сторінки входу на WordPress?
Є кілька інших покращень безпеки на WordPress, які ви можете виконати, щоб захистити вашу сторінку входу до системи. Наприклад, перенаправлення та додавання CAPTCHA на сторінку входу. Якщо ви використовуєте протокол аутентифікації HTTP або двофакторну аутентифікацію — цього має бути достатньо.
Чи потрібно блокувати порушників за IP-адресами?
Одна з рекомендованих порад для запобігання атак входу в систему WordPress - це блокування порушника за IP-адресою. Якщо ваш сайт є мішенню атаки брутфорс, ми не рекомендуємо йти цим шляхом в основному тому, що зломщики можуть обходити таке блокування нескінченно, і в кінцевому підсумку це вийде гра в кішки-мишки.
Почніть з основ – використовуйте надійні облікові дані для WordPress
Як і у всьому іншому, звертаючись до основ, переконайтеся, що ваш сайт на WordPress не став об'єктом таких нападів. Уникайте використання спільних імен, таких як admin, root або ваше власне ім'я для захисту користувача адміністратора на WordPress. Використовуйте комбінацію літер та цифр для ваших логінів та комбінації літер, цифр та спеціальних символів для ваших паролів.
Інші покращення безпеки сторінки входу на WordPress
- Робіть доступ до вашої сторінки входу в систему на WordPress лише через HTTPS, оскільки зловмисникам дуже легко отримати ваш логін та пароль на WordPress за незахищеним протоколом.
- Введіть у дії дво-факторну автентифікацію або автентифікацію HTTP.
Ще одна підказка
Якщо ви завжди отримуєте доступ до адмінки на WordPress з однієї IP-адреси, обмежте доступ до сторінки входу на WordPress тільки для вашої IP-адреси. Щоб отримати додаткову інформацію про те, як обмежити доступ до певної IP-адреси або як увімкнути автентифікацію HTTP, зверніться до докладного посібника користувача htaccess та WordPress.
Джерело: wpwhitesecurity.com
Коментарі до запису: 0